Version 1.0, 10.09.2014
Gut ein Jahr nach Snowden ist in Deutschland immer noch nichts Nennenswertes passiert, um – langfristig – Kryptografie (und Anonymisierung) zu Massentechniken zu machen. Es gibt zwar in vielen Großstädten regelmäßige kostenlose Schulungsangebote (meist unter dem Titel Cryptoparty), aber quantitativ ist deren Wirkung irrelevant. Es ist auch keine realistische Option, diese Angebote um den Faktor 100 auszubauen.
Es gibt nicht einmal echte Widerstände gegen die systematische Vermittlung von Kryptografie-Kenntnissen. Natürlich gibt es viele Leute, die sich (derzeit) nicht selber die Mühe machen wollen, sich damit auseinanderzusetzen, aber das ist kein Widerstand gegen entsprechende Bemühungen (es geht ja nicht darum, dass nennenswert Zeit oder Geld investiert werden müsste). Die Gründe für die allgemeine Untätigkeit haben mit dem Thema Kryptografie vermutlich wenig bis nichts zu tun:
Die übliche menschliche Trägheit – man hat auch so schon genug zu tun.
Es fehlt zumeist an Leuten, die das machen können und wollen. Oder es ist nicht bekannt, dass es solche Leute gibt.
Man bekommt keinen Ärger für Untätigkeit. Die Medien haben absurderweise bisher weder Politiker noch die Verantwortlichen an den Hochschulen, in entsprechenden Verbänden usw. in die Mangel genommen.
Ergänzend zur fehlenden Sanktion gibt es auch keine positiven Vorbilder, denn es ist ja im Wortsinn so, dass bisher niemand von Bedeutung etwas von Bedeutung unternommen hat.
Wirklich aussichtsreich sind Schulungsprojekte nur in Organisationen (oder ähnlichen Zusammenhängen), über die man Teilnehmer erreicht, die auch nach der Schulung noch ausreichend häufig miteinander zu tun haben. Leute zu schulen, die keine Kontakte haben, mit denen sie die Technik nutzen können, bringt wenig.
Der Bundestag ist in mehrfacher Hinsicht in herausgehobener Position:
Dort sollen die durch Snowden bekanntgemachten Probleme gelöst werden. Das ist aber ohne entsprechende Sachkenntnis völlig unrealistisch (sowohl in der Motivation als auch in der Befähigung); die aber ist dort kaum vorhanden.
Kommunikation ist wesentlicher Bestandteil der Arbeit von Politikern. Man darf von ihnen verlangen, dass sie das professionell hinkriegen. Dazu gehört, dass es möglich sein muss, auf hohem Niveau vertraulich zu kommunizieren. Wenn der Bürger damit rechnen muss, dass ein Großteil der Kommunikation von politischen Entscheidungsträgern abgehört wird und deshalb mehr oder weniger alle von denen (sogar koordiniert) erpressbar sind, dann löst sich das Restvertrauen in die Integrität der Demokratie in Luft auf. Dass die Abgeordneten sich aus reiner Bequemlichkeit das nötige Wissen nicht aneignen, ist dem Wähler wohl kaum zu vermitteln. Der kann das zwar auch nicht, wird aber nicht dafür bezahlt – und muss sich generell nicht rechtfertigen.
Es handelt sich um eine Organisation, in der dieselben Leute über Jahre miteinander in Kontakt stehen und sehr häufig am selben Ort zusammentreffen. Die Ausgangslage für eine systematische Wissensvermittlung ist also optimal.
Auch wenn das kein zwingendes Erfordernis ist: Es stehen ein ausreichendes Budget und eine große IT-Abteilung, die nur endlich mal entsprechend eingenordet werden müsste, zur Verfügung.
Die wichtige Botschaft nach außen – um die Hochschulpräsidenten, Dekane der Informatik-Institute u.Ä. unter Druck zu setzen – wäre: Es gibt im Bundestag eine monatliche Kryptografie-Schulung für Abgeordnete und deren Mitarbeiter
Was genau da passiert (Themen, inhaltliches Niveau, Teilnehmerzahl), wäre wohl erst mal nachrangig. Das heißt, dass dies mit nahe null Aufwand erreicht werden könnte. Man müsste nur entscheiden, monatlich einen Termin zu organisieren (oder mehrere, bei entsprechender Nachfrage, um unterschiedliche Themen zu behandeln oder beim selben Thema Einsteiger und Fortgeschrittene getrennt zu schulen). Es gibt in Berlin einige Leute, die ein ideelles Interesse an der Verbreitung der Technik haben; es wäre deshalb sogar möglich, so ein Projekt erst mal ohne Budget zu starten.
Wer so ein dauerhaftes Schulungsangebot startet – die Bundestagsverwaltung, eine Fraktion oder sogar einzelne Abgeordnete – wäre für die Außenwirkung nicht wichtig, sofern die Darstellung der Aktion nicht aussieht wie eine normale Partei-/Fraktionsveranstaltung. Mittelfristig sollte die Organisation allerdings auf die Bundestagsverwaltung oder alle Fraktionen gemeinsam übergehen.
Auch wenn man sich mit der öffentlichen Partei-Assoziation zurückhält, wäre zumindest in IT-Kreisen über lange Zeit bekannt, wer diese Aktion angestoßen hat. Sie hätte also einen politischen Nutzen.
Wenn die Schulungen als solche etabliert sind, kann in einem zweiten Schritt allerlei unternommen werden, um die Situation zu verbessern:
Informations-Website
Der Bundestag könnte – für seine Angehörigen und Externe gleichermaßen – eine Website mit hochwertigen Informationen zu den wichtigsten Themen aufsetzen: crypto.bundestag.de oder so. Ein großes Problem derzeit ist, dass es kaum Informationsquellen gibt, die sowohl von hoher Qualität als auch für Anfänger leicht lesbar sind. Die meisten Leute, die über das Thema schreiben, haben wenig Ahnung davon. Diejenigen mit Ahnung sind meist nicht besonders pädagogisch oder journalistisch veranlagt.
Dabei müsste das Rad nicht neu erfunden werden. Es wäre in vielen Punkten ausreichend, auf externe Informationsquellen zu verweisen, die den Ansprüchen entsprechen. Auf diese Website könnten dann auch staatliche Einrichtungen aller Art verweisen, die Aufmerksamkeit auf das Thema lenken wollen. Ein staatliches Webangebot zu verlinken wäre für die unkritisch.
Ein wichtiger Aspekt so einer Site wäre, dass sie einen Aufruf (vor allem an die schon vorhandenen Nutzer der Technik) enthält, sich an ihrer Verbreitung zu beteiligen, und entsprechende Vorschläge bereit hält, analog zu diesen Seiten: http://www.openpgp-schulungen.de/fuer/unterstuetzer/. Analog dazu sollte es eine Seite in der Art von http://www.openpgp-schulungen.de/fuer/alle/ geben, die von möglichst vielen Abgeordneten und Mitarbeitern in der Textsignatur ihrer E-Mails verlinkt wird.
Empfehlungen für die Bundestagsangehörigen
Wie bei jedem anderen Thema auch, stellt sich hier die Frage: Wie viel muss jemand lernen? Die ist nicht leicht zu beantworten. Um die eigene Weiterbildung für alle Beteiligten einigermaßen zu strukturieren, sollte eine Empfehlung veröffentlicht werden, wer (Abgeordnete, Mitarbeiter, ggf. Spezialist in der Fraktion) über welche Kenntnisse verfügen sollte.
CA
Die Bundestags-IT sollte sich eine eigene CA (für X.509 und OpenPGP) zulegen, die (mittels ihres Fingerprints) in mehr oder weniger allen Druckerzeugnissen des Bundestags bekannt gemacht wird und über die der Status als Abgeordneter oder Mitarbeiter bestätigt wird. Das hätte dann auch Vorbildcharakter für Unternehmen und andere Organisationen (etwa die Parteien).
Software-Verbesserungen
Die üblicherweise verwendete Software ist Open-Source-Software. Die Ressourcen zu deren Entwicklung sind begrenzt, und der Schwerpunkt liegt oft darauf, dass die Technik funktioniert, nicht darauf, dass sie bequem zu nutzen ist. Der Bundestag könnte also die entsprechenden Wünsche der Abgeordneten und Mitarbeiter sammeln und dann etwas Geld investieren, um diese Wünsche umsetzen zu lassen. Dank Open-Source kämen diese Verbesserungen unmittelbar der Allgemeinheit zugute.
Sicherheits-Niveau
Sicherheit ist nicht nur die Installation einer Software. Sicherheit ist abstrakt und auch für IT-affine Leute schwer zu messen. Solange man sich nicht darüber im Klaren ist, welchen Wert das hat, was man gerade macht, kann der Kommunikationspartner das erst recht nicht wissen. "Sicherheit" ist in diesem – dem typischen – Szenario nur ein gutes Gefühl, aber nichts Belastbares.
Was an allen Fronten fehlt, ist eine einheitliche Skala dafür, wie sicher etwas ist. Erst damit wäre es praktikabel, Informationen jeweils angemessen zu schützen.
Der Bundestag könnte veranlassen, dass so eine Einteilung erstellt wird (das BSI oder eine Hochschule könnte das machen). Auch hier wäre es wieder so, dass die Bundestagsangehörigen dies für ihre eigene Arbeit bräuchten, der Aufwand aber dem ganzen Land zugute käme.
Für die Politik nicht irrelevant dürfte der Umstand sein, dass es derzeit noch leicht möglich wäre, Deutschland weltweit (und uneinholbar) an die Spitze dieser Bewegung zu katapultieren, was auf jeden Fall positive Auswirkungen für das Image von IT-Sicherheitslösungen made in Germany hätte.
Version 1.0, 10.09.2014 (diese Version, Permanentlink)